Trojan sinowal.da e sinowal.ac

[Giuseppebaudo]

Ciao a tutti, innanzitutto il mio saluto perché è la prima volta che scrivo sul forum. scusate il nome, ma proprio dopo averne tentati una decina in cui risultava il nome "già assegnato" ho scelto questo, non è assolutamente una presa in giro, ma una necessità.

Detto questo, vengo al mio problemone:
tempo fa recuperai un portatile Netbook (privo quindi del lettore DVD) di cui il proprietario intendeva sbarazzarsi per via di un problema hardware piuttosto semplice, ma di cui non aveva intenzione di porre rimedio. Gli ho quindi chiesto se potevo tenere il PC ed egli ha acconsentito.
Una volta sistemato il problema HW, ho fatto una scansione e l'antivirus ha rilevato (e apparentemente rimosso) il trojan sinowal.
Da quel momento ho continuato a utilizzare il PC (più di un anno) senza problemi apparenti, sennonché, è da poco tempo che è ricomparso il sinowal nelle due forme di cui al titolo del topic.
Io uso degli antivirus gratuiti che stavolta non sono stati in grado di eliminare il problema.
Ho quindi scaricato dalla rete una decina di antispyware che non sono riusciti a risolvere il problema, molti di loro, anche un tool specifico per il sinowal, manco lo rilevava, addirittura.
Gira gira ho scaricato anche il tool Kaspersky che questa volta pare aver avuto maggiore fortuna.
Tuttavia a un certo punto mi spegne la macchina per il riavvio, ma al momento di ripartire la macchina mi dà: Missing operating system.
Ovviamente ho pensato al fatto che l'MBR (il sinowal lavora purtroppo nel MBR) fosse stato scompigliato dall'azione del tool Kaspersky, però ora mi trovo di fronte a due problemi insormontabili:

1) Il PC è privo di lettore DVD e a quanto pare il disco di installazione copiato su una memoria USB non gli piace (manco lo sente). Quindi non so proprio come far partire la console di ripristino.

2) Il BIOS ho notato che non risponde ad un comando, nello specifico non permette la selezione delle voci che intendo cambiare attraverso le frecce, questo mi fa pensare che è possibile che il trojan abbia compromesso pure qualcosa nel BIOS, è possibile?

Il sistema operativo in uso è Windows XP.

Qualcuno mi può per piacere aiutare? Sono molto in difficoltà.
Grazie in anticipo.

[R16]

Ciao.
Vediamo come è messo l'MBR:
Scarica aswMBR.exe sul desktop.
http://public.avast.com/~gmerek/aswMBR.exe
Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si .
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log ,e salvalo sul desktop.
Postalo qui.
Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia "
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[Giuseppebaudo]

Ti ringrazio infinitamente in anticipo.
Scaricherò il programma su questo PC (il netbook non parte proprio) e collegherò il suo HDD a una porta USB di questo PC, poi lancerò la scansione e ti farò sapere.
Per ora ancora grazie.

[Giuseppebaudo]

Ecco qui il log:

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-06-10 21:32:51
-----------------------------
21:32:51.140 OS Version: Windows 5.1.2600 Service Pack 3
21:32:51.140 Number of processors: 1 586 0x209
21:32:51.140 ComputerName: HP16453284962 UserName: Utente
21:33:10.109 Initialze error C000010E - driver not loaded
21:33:12.937 write error "aswCmnB.dll". Impossibile accedere al file. Il file è utilizzato da un altro processo.
21:40:19.187 AVAST engine defs: 13061001
21:44:46.937 Service scanning
21:46:55.046 Service PNDIS5 D:\PNDIS5.SYS **LOCKED** 21
21:51:27.109 Modules scanning
21:51:27.125 Disk 0 trace - called modules:
21:51:27.125
21:51:29.343 AVAST engine scan F:\
01:23:08.515 Scan finished successfully
07:12:41.421 The log file has been saved successfully to "C:\Documents and Settings\Utente\Desktop\aswMBR.txt"


Essendo breve lo pubblico direttamente nel forum. L'errore "write error aswCmnB.dll ecc..." è dovuto al doppio click effettuato 2 volte.

Sto in attesa di delucidazioni.

[R16]

Avast non ha nemmeno rilevato L'MBR.
Per lui è assente.

Vedi cosa dice MBRCheck:
Scarica MBRCheck, e e salvalo sul desktop.
http://ad13.geekstogo.com/MBRCheck.exe
Chiudi tutti i programmi.
Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo.
Attendi la fine della scansione.
Finita la scansione (dura pochissimo) posta il log che troverai sul desktop

[Giuseppebaudo]

Fatto.

Il programma ha chiesto se volevo ripristinare il MBR standard, ma ho preferito attendere la tua cortese valutazione.

Questo è il log:

MBRCheck_06.11.13_20.07.08.txt

Eventualmente ho anche un'istantanea di sistema:

Immagine.JPG

Mi metto in standby e attendo il tuo responso. Grazie.

[R16]

Ciao.

ma ho preferito attendere la tua cortese valutazione.

Non hai niente da perdere .....
Se vuoi provare segui queste indicazioni:

Il programma ha chiesto se volevo ripristinare il MBR standard

Inserisci 'Y ' e premi Invio
Quando il programma ti chiede di inserire una di queste opzioni:

[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Scegli la 2 (Restore the MBR of a physical disk with a standard boot code .)

Ora il programma ti chiederà di inserire "il numero del disco fisico per risolvere (0-99 , -1 per annullare ): "
Premi 0 (zero) e premi il tasto Invio

[0 ] di default (Windows XP)
[1] Windows XP
[2], Windows Server 2003
[3] Windows Vista
[4] Windows 2008
[5] Windows 7
[-1] Annulla

Riavvia il pc. (è importante)
Sul desktop, troverai anche il log della scansione.
Postalo qui.

[Giuseppebaudo]

Niente da fare!

Ho provato due volte, anche con l'opzione "1" (riscrivere da capo il MBR) al riavvio non va.
Ulteriori scansioni confermano l'assenza del MBR.

Ho provato anche attraverso il disco di Windows e la console di ripristino (non avevo pensato che era possibile utilizzarlo tramite questo PC con il disco rigido collegato in USB ), sempre con risultato negativo.

Ritengo possibile la presenza di ulteriori malware all'interno del disco; quando il tool kaspersky faceva la scansione aveva rilevato il sinowal allocato nel proprio file e pertanto impossibilitato a rimuoverlo poichè il file era in esecuzione.

Volevo effettuare una scansione dal "main" PC (quello da cui sto lavorando) ma non riesco a far scansire l'unità F (il disco infetto) in quanto i tool che sto usando lavorano solo su C.

Altre idee?

[R16]

Ciao.

Ho provato anche attraverso il disco di Windows e la console di ripristino

Oltre al comando fixmbr hai provato il comandoFIXBOOT ?

Ritengo possibile la presenza di ulteriori malware all'interno del disco;

Sì, ma la prima operazione è sistemare l'MBR, altrimenti anche eliminando le eventuali infezioni, queste si rigenerebbero ad ogni avvio.

[Giuseppebaudo]

Ho provato anche FIXBOOT, non funziona niente!

Che suggerisci a sto punto?